{"id":5958,"date":"2015-04-28T16:44:54","date_gmt":"2015-04-28T16:44:54","guid":{"rendered":"http:\/\/kasperskydaily.com\/spain\/?p=5958"},"modified":"2020-02-26T17:28:21","modified_gmt":"2020-02-26T15:28:21","slug":"no-monkeys-for-cozyduke","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/no-monkeys-for-cozyduke\/5958\/","title":{"rendered":"CozyDuke, no tan mono"},"content":{"rendered":"

Ha llegado otra amenaza persistente avanzada (APT por sus siglas en ingl\u00e9s) de la \u201cfamilia Duke\u201d y est\u00e1 atacando objetivos de perfil alto, tales como oficinas gubernamentales de EEUU. Esta vez se trata de un nuevo miembro de la familia, CozyDuke<\/a>, tambi\u00e9n conocido como CozyBear, CozyCar y \u201cOffice Monkeys\u201d(o \u201cMonos de oficina\u201d) debido al v\u00eddeo que utiliza como se\u00f1uelo.<\/p>\n

\"Cozy<\/a><\/strong><\/p>\n

Es un ataque bastante sofisticado que incluye el uso de componentes cifrados, capacidades anti-detecci\u00f3n as\u00ed como un set de componentes de malware bastante bien desarrollados que tienen similitudes estructurales con sus predecesores: las amenazas MiniDuke, CosmicDuke y OnionDuke.<\/p>\n

Los monos de oficina son un peligro
\n<\/strong><\/p>\n

Lo que realmente se debe mencionar es que el m\u00e9todo de penetraci\u00f3n del ataque inicial est\u00e1 basado solamente en t\u00e9cnicas de ingenier\u00eda social y desafortunadamente es una t\u00e1ctica que tiene bastante \u00e9xito para muchos ataques dirigidos.<\/p>\n

Los agresores ofrecen como anzuelo un v\u00eddeo muy gracioso de monos trabajando en una oficina. El archivo, que incluye un v\u00eddeo ejecutable, se distribuye mediante correos electr\u00f3nicos del tipo spear phishing <\/em>(estafas focalizadas) y contienen un enlace a una p\u00e1gina web. A menudo estas p\u00e1ginas son leg\u00edtimas, y hasta de las mejores calificadas, pero ya comprometidas.<\/p>\n

\"\"<\/p>\n

Mientras la victima ve el v\u00eddeo, el \u201cdropper\u201d (instalador) de los atacantes se instala en el sistema, esperando a que los servidores de comando y control le manden comandos y m\u00e1s componentes de malware para la segunda fase.<\/p>\n

Los cibercriminales no se equivocaron al pensar que muchos de los destinatarios de los correos ver\u00edan el v\u00eddeo. Muchos no s\u00f3lo lo vieron, sino que tambi\u00e9n lo compartieron con sus colegas y, de este modo, ayudaron a la distribuci\u00f3n del malware. No se puede decir con certeza cu\u00e1nta informaci\u00f3n sensible ha sido robada, dado el alto perfil de los objetivos.<\/p>\n

La cuesti\u00f3n radica en c\u00f3mo mitigar una amenaza tan terrible, que tiene hasta a los empleados de m\u00e1s confianza \u201cayudando\u201d a comprometer los sistema de seguridad que se han construido con tanto esmero. Lo m\u00e1s importante es no subestimar el poder de la ingenier\u00eda social. \u00bfCu\u00e1ntos empleados leales se resistir\u00edan a abrir un enlace de un correo (falso y hecho minuciosamente) de su jefe?<\/p>\n

C\u00f3mo mitigar la amenaza Office Monkey
\n<\/strong><\/p>\n

Hay varias precauciones b\u00e1sicas y estrategias de prevenci\u00f3n que pueden ser efectivas contra los APTs m\u00e1s sofisticados y mejor planificados. Por ejemplo, al limitar cuidadosamente quienes tienen derechos de administrador, parchear vulnerabilidades a tiempo y restringir la cantidad de aplicaciones permitidas se pueden mitigar hasta un 85% de los incidentes de ataques dirigidos.<\/a><\/p>\n

El Control de Aplicaciones de Kaspersky Lab, con su lista din\u00e1mica de programas permitidos<\/a> puede ser de gran valor en situaciones como \u00e9sta. Simplemente no se podr\u00eda ejecutar el v\u00eddeo de los monos, igual que otros componentes de CozyDuke, sin ser aprobados previamente por un administrador del sistema.<\/p>\n

\n

The White House, US State Department and others are counted among #CozyDukeAPT<\/a> victims \u2013 http:\/\/t.co\/nXaf9mj6cK<\/a> pic.twitter.com\/FSRwlgClmD<\/a><\/p>\n

\u2014 Kaspersky (@kaspersky) April 24, 2015<\/a><\/p><\/blockquote>\n